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) Verfahren und Vorrichtung zur Verarueitung eines Computer-Appfets 

) Ein Verfahren zur Verarbaitung eines Applet wird berertge- 
steltt, welches folgende Schritte aufweist: Spefchem einer 
Datei in einam dauerhaften Speichermedium (PSM), wobei 
die Datei eine Zugrrffskon trolliste aufweist, Obertragen eines 
Applet von einam Server, wobei das Applet zumindest eines 
von Applet-ldentffizierungsdaten und einam Pear von einem 
Prtatschlussel-varschlusseiten Domanenidentifizierer und 
einam Altgemeinschiussei, einem DatefmaxImalgrdBen-indi- 
kator und einer Speziflzierung erforderiicher Operationan 
aufweist, Empfangen des Applets dutch eine Applications- 
maschine, im Fail, daS der Domanenidentifizierer im Applet 
enthalten ist, Entschi Ossein des Domanenidentifizlerers un- 
ter Benutzung des Mgemeinschiussals, PrQfen von dam 
zumindest einen von den Applet-identiffeierungsdsten und 
dem entschiusselten Domanenidentifizierer gegenuber der 
Zugrrffskon trolliste nach einer Obereinstimmung, und im 
Fail da& eine Obereinstimmung gefunden ist, Errndglichen 
der in dem Applet spezffizierten Operationen an einer Datei, 
die in einem dauerhaften Spelchermedium gespeichert ist, 
fur welche ein Zugriff auf das Applet , wie in der DateEzug- 
riffskontrofliste spezifiziert mogfich ist. 
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Beschreibung 

Die vorliegende Erfindung bctrifft das Gebiet der Computernetzwerke, und insbesoudere ein Verfahren zum 
Verarbeiten von Computer- Applets auf sichere Art und Weise. 

5 Mit dem Aufkommen des objektbasierenden bzw. objektorientierten Programmierens wurde es mogiich, 
Applets uber ein Netzwerk, wie z. B. das Internet, an verschiedene, mit dem Netzwerk verbundene Computer zu 
ubertragen. Ein Applet ist ein kleines, unabhangiges Anwendungsprogramm bzw. Applikationsprogramm, das 
emen Computer veraniassen kann, eine bestimmte Funktion aus zufuhren, und sowohl Anweisungen fur den 
Betrieb des Computers als auch Daten, weiche bei seinem Betrieb zu verarbeiten sind, enthalt 

io Verschiedene Programmiersprachen wurden zur Erstellung von Applets entworfen, wie z. R Telescript, 
SafeTOU Java, Cyber- Agents und QearLake Agents. Durcb Benutzung von Interpretierern konnen die ver- 
schiedenen Applets Hardware- unabhangig sein, d. h. dasselbc Applet kann von Computerhardware mit ver- 
schiedenen Betriebssystemen empfangea und verarbeitet werden. Beispielsweise ware es moglich, daB dasselbe 
Applet von einem Maclntosh-Betriebssystem empfangen und verarbeitet wird so wie von einem der Microsoft 

is Windows-Betriebssysteme auf Personalcom ptiter- B etri ebs systeme n, basierend auf einem Intel-Prozessor (z, B. 
IBM). 

Man hat spekuliert, daB die Programme und Daten, weiche Computer, die Applets empfangen, benutzen, all 
das bereitstellen wurden, was em Computer braucht, urn in der Lage zu sein, voflstandig zu funktionieren, was in 
einem signifikant weniger kostentrachtigen Computer als gegenwartig resultieren wurde. Dies kommt daher, 

20 daB der Computer erwartungsgemaB das Netzwerk als Massenspeicher-Ablage von Programmen und Daten 
benutzen wurde. Programme wurden auf einer Benutzungs basis bezahit werden, und nicht auf einer Vorauszah- 
lungsbasis und einer Basis der unbeschrankten Benutzung. Jedoch setzt dies voraus, daB ein Benutzer darauf 
vorbereitet ware, zu erlauben, daB eine Massenspeicherung zur Speicberung kritischer Daten, insbesondere 
geschriebener Programme usw. auBerhalb seiner Kontrolle ware. Aus Sicherhehsgrunden, glaubt man, ist es 

25 wunschenswert und/oder notwendig, einen lokalen Massenspeicher in Zusammenhang mit jedem oder mit den 
meisten Coraputern bereitzus t eflen. 

Bei der Speicberung von Daten auf einer lokalen Massenspeichervorrichtung entsteht das Problem der 
Sicherheit in bezug auf den Empfang der Applets votn Netzwerk, da diese Applets auf Dateien zugreifen, diese 
ubertragen oder beschadigen kdnnten. 

30 Das Sicherbeitsproblem wurde bisher auf eine von zwei Art en gehandhabt. 

Die erste besteht in der Beschrankung der Benutzung der Applets auf ein geschlossenes oder verwaltetes 
System, wobei Softwarekomponenten Domanennaroen erhalten konnen und afle mdglichen Ausfuhrungsplatze 
mit Listen erlaubter Domanen bestfickt werden kdnnen. Beispielsweise werden im Cyber Agents-Programm 
Domanen zur Steuerung der Ausfuhrung und der Sicherheit an entfernt gelegenen Platzen benutzt Eine 

35 Domane ist eine Gerichtsbarkeitsgruppe von Applets, weiche sich Zngriff srechte teflen. 

Der zweite Weg der Handhabung der Sicherheit besteht in der Isolierung der Applets von wichtigen System- 
ressourcen, wie weiter oben bemerkt. Von einem unkomroDierten Systemnetzwerk, wie z. B. dem Internet, 
empfangene Applets wurden am Zugriff auf Massenspetchervorrichtungen gehindert und wurden zur Bereitstel- 
lung fantasievoller Graphiken und zur BereitsteQung einer graphischen BenutzerschnittsteUe fur das Kunden- 

40 Server-Computing umgelehet Programme zur Erzeugung von Applets in offenen unkontrollierten Systemen 
sind beispielsweise Telescript, SafeTCL und Java. Beispielsweise kann Java einen Computer veraniassen, ein 
Fenster anzuzeigen und den Inhalt des Fensters bereitstellen sowie Klange zu spielen, aber es kann nicht auf das 
Computer-Plattenlaufwerk schreiben. 

Obwohl die Benutzung von irgendeinem dieser Scheme a die Sicherheit hervorbringt, weiche erforderlich ist, 

45 zu gewahrieisten, daB Gauner- Applets keinen Schaden an den Ressourcen eines Computers anrichten, wie z. B. 
an den Dateien, erlegen sie ebenfalls der Benutzbarkeit von mobilen Applets eines offenen Systems eine 
Bescbrankung auf. Falls ein heruntergeladenes Applet keinen Zugriff auf das Plattenlaufwerk hat, urn eine 
dauerhafte tokale Speicherung fur den Benutzer zu erzeugen, ist die Benutzbarkeit von geschriebenen Applets, 
die solch ein Isolierungsschema benutzen, sehr beschrankt 

50 Betriebssysteme kummern sich urn die Sicherheit durch Bereitsteilung von Benutzungsrechten fur Verzeich- 
msse und Dateien. Durch Zuordnung der Applet- AppEkationsmaschine zu einer Benutzergruppe werden die 
durch die Applikationsmaschine ausgefuhrten Applets darauf beschrankt, auf die Dateien zuzugreifen, die in der 
Applikationsmaschine selbst verfugbar sind 
Obwohl dies Sicherheit fur weitere Dateisystem-Dateien auBerhalb des EinfluBgebiets der Applikationsma- 

55 schine bietet, bietet es keine Sicherheit zwischen den Applets. In ahnlicher Weise bieten manche Applet- Appli- 
kationsmaschinen, wie z. B. Hot Java von Sun, Zugriffskontrollisten. Diese Listen spezifjzieren, welcher Unt er- 
satz der zugriffsfahigen Dateien der Applikauonsmaschinen einen Zugriff durch Applets erfahren kann. Dies 
bietet eine ausgedehnte Sicherheit, lost aber nicht das Problem der Bereitsteilung der Sicherheit fur Daten 
zwischen Applets. 

60 m Hot Java spezifiziert ebenfalls ein Verfahren, durch das ein Zugriff auf Dateien fur Applets durch Benutzung 
einer Dialogbox fur den Benutzer des Applet ermdglicht werden kann, wobei der Benutzer eine Sicherheitsauto- 
risierung bzw. -berechtigung eingeben muB. Dies bietet eine groBere Sicherheit zwischen den Applets, ist aber 
intrusiv und erfordert, daB der Benutzer die Empfmdlichkeit und den Ursprung (virtueUe mhaberschaft) der 
Daten in jeder Datei versteht 

65 Falls die Appl ikationsmaschine die Queue des Applets besti rumen kann, kdnnen Zugriffsrechte gemaB be- 
stimmten Regeln eingerichtet werden. Java kann erfassen, ob ein Applet von innerhalb einer Feuerwand bzw. 
"FirewalP (einer Softwarebarriere zu einem AuBenzugriff auf ein lokales (internes) Netzwerk) herrQhrt; der 
Hotjava-Browser ermdglicht verschiedene Sicherheitsrechte fur Applets, die auf jeder Seite der Feuerwand 
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geladen werden. Lese- und Schreibzugriff kann nur internen Applikationen gewahrt werden. 

General Magic's Telescript-Technologie bietet einen generischen Satz von Berechtigungen und Zulassungen. 
Agenten innerhaib eines Bereichs enthalten alle dieselbe Berechtigung — dies ist ihnlich wie das Konzept der 
Benutzerdomanen. Jeder Telescript- Agent hat nur eine Berechtigung. Zulassungen kontroUieren die Ausfflhrung 
von Anweisungen oder den Zugriff und die Benutzung einer Ressource. Telescript spezifiziert nicht wie ein 5 
Telescript-Ort uber Benutzungsrechte fur eine Ressource mit einem Agenten einer bestimmten Berechtigung 
verhandelt oder die Zugriffsrechte fur jede Ressourceninstanz speichert 

Der Ausdmck *dauerhafte Speicherung" wird in dieser Beschreibung als generischer Ausdruck fur afle Medien 
benutzt welche Dateien, Daten oder Programme, welche zu schfitzen sind, speichera oder tragen und kann 
elektronische ScfareiV/Lesespeicher, Floppy- oder Festplattenlaufwerke, Busse usw. umfassen, ist aber nicht 10 
darauf beschrankt 

Die vorliegende Erfindung schafft einen sicheren Zugriff auf einen dauerhaften Speicher fur einen verteilten 
Applet-Code innerhaib einer offenen, unkontrollierten Computing-Umgebung. Sie schOtzt Dateien vor unbe- 
rechtigter Benutzung durch unbekannte mobile Applets, wobei sie noch Zugriff auf das Datei-System for diese 
Applets bietet Dies involviert die Verhandlung von Zugriffsrechten fur das unbekannte Applet 15 

In Obereinstimmung mh einer Ausfuhrungsform der Erfindung umfaBt ein Verf ahren zur Verarbehung eines 
Applet die Speicherung einer Datei in einem dauerhaften Speichermedium (PS MX wobei die Datei eine Zn griff s- 
kontrolliste aufweist und die Obertragung eines Applet von einem Server, wobei das Applet zumindest eines 
von Applet-Identifizierungsdaten und einem Paar aus Privatschlussel-kodiertem Domanenidentinzierer und 
Allgemeinschlussel einem DateimaximalgrSBen-Indikator und einer Spezifikation erforderlicher Speicherope- 20 
rationen enthalt den Empfang des Applet durch eine Applikanonsmascfaine, und im Fall, daB der Domaneniden- 
tifizierer im Applet enthalten ist, das Entschlusseln des Domanenidentifizierers unter Benutzung des Allgemein- 
schlussels, das Prufen von zumindest einem von den Applet-Identifizierungsdaten und dem entschlusselten 
D omanenidentifizierers gegenuber der Zugriffskontrolliste hinsichtlidi einer Lfceremstimmung; und im Fall, daB 
eine Obereinstimmung gefunden wird, das Erm5glichen der in dem Applet spezifizierten Opera tionen an einer in 25 
einem dauerhaften Speichermedium gespeicherten Datei, fflr welche ein Zugriff fur das Applet, wie in der 
DateizugriffskontroOiste spezifiziert, mogiich ist . 

In Obereinstimmung mit einer weiteren Ausfuhrungsform umfaBt ein Verfahren zur Verarbeitung ernes 
Applet den Empfang von Applets in einer Applikationsmaschine, wobei die Applets Spezhikationen von durch- 
zufuhrenden Operationen aufweisen und einige der Applets zumindest eines von Applet- Ide ntifizienmgsdaten 30 
und PrivatscMussel-verschlusselten Domanen aufweisen, Verarbeiten der Applets in einem AusmaB, in dem ein 
Zugriff auf in einem dauerhaften Speichermedium enthaltene Dateien nicht erforderlich ist m dem Fall, daB die 
Applets Privatschlussel-verschlusselte Domanen aufweisen, Entschlusseln der Domanen, Priifen von zumindest 
einem der Applet-Identifizienmgsdaten und der entschlusselten Domanen gegenuber einer Kontrolliste, und 
Verarbeiten der Applets, von denen das zumindest eine von Applet-Identifizienmgsdaten und entschlusselten 35 
Domanen mit Eintragen in der KLontrolliste zum Zugriff auf die im dauerhaften Speichermedium enthaltenen 
Dateien Ubereuistimmt, wie durch die Applets gefordert 

In Obereinstimmung mit einer weiteren AusfQhrungsform umfaBt ein Verfahren zur Verarbeitung eines 
Applet das Speichera einer Zugriffskontrolliste, welche eine Identity von Applets oder Domanen enthdlt, die 
einen Zugriff auf in einem dauerhaften Medium gespeicherte Dateien haben kdimen, und ErmSglichen des 40 
Zugriffs auf das Zugriffskontrollmedhim durch die Applets, welche eine Identit&t oder eine Dom&ne entspre- 
chend einem Eintrag auf der Lis te aufweisen. 

In Obereinstimmimg mh einer weiteren Ausfuhrungsform umfaBt eine Applet-Appl2cationsmaschine aus 
einer Zugriffskontrolliste, wobei die Maschine und die Liste in einem Speicher eines Computers gespeichert sind, 
und eine Vorrichtung zum Berehstellen eines Applet mit einer Identifizierung mit zumindest einem von einem 45 
Applet- Identifier und einer Domane zum Vergleich mit der Liste und zur Bestimmung einer Obereinstimmung, 
sowie eine Vorrichtung zur Ermdgtichung eines Zugriffs auf eine anderenfafls geschutzte Compute rressource im 
Fall der Obereinstimmung. 

Ein besseres Verstandnis der Erfindung wird durch Betrachtung der nachstehenden detaOlierten Beschreibung 
mit Bezug auf die beglekenden Zeichnungen erhaiten. so 
Es zeigen: 

Fig. 1 ein Blockdiagramm eines Netzwerks, auf dem die vorliegende Erfindung implementiert werden kann; 

Fig. 2 ein Blockdiagramm eines in dem Netzwerk von Fig. 1 benutzten Computers, auf dem die vorliegende 
Erfindung implementiert werden kann; 

Fig. 3 eine Illustration eines reprasentauven Applets, welches bei der vorKegenden Erfindung benutzt wird; 55 
und 

Fig; 4 ein representatives Betriebsverrahren nach der vorliegenden Erfindung: 

Fag. 1 illustriert ein offenes und unkontrolliertes Netzwerk und umfaBt einem Server 11, welcher eine Schnitt- 
steUe zu einem Netzwerk 3 aufweist mit dem verschiedene Computer 5 verb und en sind oder verbunden werden 
konneiL Das Netzwerk 3 kann ein GroBbereichsnetzwerk, das Internet ein Telefonnetzwerk usw. sein, 60 

Im Betrieb lief ert der Server 1 Applets an das Netzwerk 3 zum Empfang durch einen oder mehrere Computer 
5l Ein Computer, der das Applet empfangt das em vollstandiges objektbasierendes Programm ist verarbeitet es 
unter Benutzung der darin enthaltenen Daten. Wie oben erwahn t war bei offenen Systemen nach dem Stand der 
Technik das Applet daran gehindert einen Zugriff auf einen dauerhaften Speicher auszuuben. 

Fig. 2 illustriert die grundlegende Architektur eines reprasentativen Computersystems 5. Ein Mikroprozessor 65 
7, ein Schreib-ZLesespeicher S (RAM), eine Tastatur % eine Netzwerk-Schnittsteilenvorrichtung 10, wie z. B. ein 
Modem, eine dauerhafte Speichervorrichtung in Form eines Festplattenlaufwerks 11 sowie ein Anzeigeuntersy- 
stem 12, mit der eine Anzeige 13 verbunden ist sind mit einem Bus 14 verbunden oder stehen in Kommunikation 
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damit 

Zusatzlich ist der Schreib-/Lesespeicher 16 (RAM), der em Teil des RAM 8 sein kann oder darin enthalte n sein 
kann, mh dem Bus 14 verbunden oder steht in Kommuoikadon damit. Der RAM 16 enthalt eine Applet- Applika- 
tionsmaschine, die einen Interpretierer fur die bestimmte benutzte Applet-Sprache und eine Software- Befehls- 
struktur zur Veranlassung des Mikroprozessors 7, die Applets zu verarbeiten, aufweist Beispielsweise kann fur 
die Java-Sprache eine Applet- Applikationsmaschine eine Hot Java sein, die von Sun Microsystems Inc. erhaltlich 
ist 

Beim Betrieb eines Systems nach dem Stand der Technik werden Applets von dem Server 1 fiber das 
Netzwerk 3 und die Netzwerkschnittstelle 10 empfangen und werden von dem Mikroprozessor 7 unter Benut- 
zung des mterpretierers in der Anwendungsmaschine 16 interpretiert, und die interpretierten Anweisungen 
werden durch den Mikroprozessor 7 verarbeitet, urn zu veranlassen, daB das Anzeigeuntersystem 12 Graphiken 
usw. auf der Anzeige 13 anzeigt Die Applikationsmaschine bat keinen Zugriff auf dauerhafte Speichermedien, 
wie z. R das Festplattenlaufwerk 11, urn eine Beschadigung usw. der Dateien, wie beschrieben, zu vermeiden, 
und deshalb kann sie darin gespeicherte Benutzerdaten oder weitere Programme nicht benutzen. Solch ein 
System ist betrachtlich eingeschrankL 

En Obereinstimmung nut der vorliegenden Erfindung enthalt die Applikationsmaschine 16 ein Allgemein- 
scWu^el-Entschiusselungsprogramm 18 sowie eine Zugriffskontrolliste 20 berechtigter Applets und/oder Do- 
manen, welche eine Erlaubnis erhaiten kdnnen, auf dauerhafte Speichermedien zuzugreifen. 

In Obercinstimmiing rait der vorliegenden Erfindung werden, wenn Applets fiber die Netzwerkschnittstelle 
empfangen werden, Zugriffsrechte auf die dauerhaften Speichermedien unter Benutzung der Applikationsma- 
schine 16 verhandelt Die Zugriffsrechte brauchen nicht beschrankt zu werden, und der Zugriff muB nicht nur 
hinsichdich dauerhafter Speichermedien verhandelt werden; jegliche Ressource des Computers oder jegliche 
vom Computer gesteuerte Oder zum Zugriff verffigbare Ressource kann beschrankt werden, und fiber ein 
Zugriff darauf kann verhandelt werden. 

Die Zugriffsrechte werden verhandelt durch: 

(a) Berechdgung; die Applet- Applikationsmaschine verinziert die Identitat oder die Domane aller Applets, 
welche einen Zugriff auf den dauerhaften Speicher fordern; 

(b) Benutzinigsrechte-Verhandlung; dies mvoiviert die Verifoaerung der Berechtigung des Applet zu lesen, 
zu schreiben oder einen Zusatz an eine Datei zu bilden. Verfahren zur Gew&hrleistung, daB ein Applet 
Zugriffsrechte auf eine bestimmte Datei hat, werden nachstehend beschrieben. Es soflte bemerkt werden, 
daB in einem offenen unkontrollierten System eine zentrale Berechtigungs- oder Domanenverwaltung nicht 
mdgiich ist Aus dies em Grand wird die Verhandiung fiber die Zugriffsrechte zwischen der Applikationsma- 
schine, der Datei und dem Applet durchgefuhrt; 

(c) Servicequalitat; eine maxunale Plattenbenutzung fur eine Applikation wird eingesteut Grenzen werden 
den Zugriff srechten vorzugswetse auferiegt, welche Schranken angcbcn, mnerhalb denen die gewahrte 
Ressource benutzt werden kann. 

Durch Wirkung als Yermittler zwischen einem unbekannten Applet und der Plattenres source verhandelt die 
Applikationsmaschine und setzt Zugriffsrechte durch. FQr Plattendateien involviert dies die Wirkung als Yer- 
mittler fur alle Plattenaktionen. Wenn eine Zieldatei fiber eine vorbestimmte GroBe hinaus anwachst, kann ein 
Schreibzugriff veraeint werden, oder der Benutzer kann nach der Erlaubnis zum Oberschreiben gefragt werden, 
was effektiv ein Wachstum der Zugriffsrechte urn einen inkrementierten Betrag ermoglicht Die Applikations- 
maschine kann eine Oberschreibzone definieren, fiber die hinaus das Zugriff srecht nicht anwachsen darf. 

Als ein Sicherhehsmechanismus kann eine Datei-Versionsverwaltung durch die Applikationsmaschine verge- 
sehen werden, urn zu gewahrieisten, daB irgendwelche Modifikationen oder Ldschungen an den Dateien im Fall 
der Beschadigung des Dateisystems behebbar said Die Zugriffskontrolliste 20 wird durch die Applikationsma- 
schine benutzt, urn zu spezifizieren, welche vorgegebenen und dateispezmschen Zugriffsrechte fur individuelle 
dauerhafte Spetcherobjekte (Dateien) vorliegen. 

Jedem Applet sofite ein Server-PIatz zugeordnet sein, der das Applet eindeutig identifiziert. Falls beispielswei- 
se von World Wide Web geladen, kann diese Identitat der unrverseUe Ressourcen-Lokalisierer (URL) des Applet 
sein. Wenn ein Applet eine neue Datei erzeugt, kann es spezifizieren, welche Applets Rechte an der Datei 
besitzen. 

Domanen sind Gruppen von Applets, welche Zugriffsrechte teilen. Unter Benutzung von einer Privatschlus- 
sel-VerschlQs selling und einer vom Applet zugefQhrten verschiussehen Nachricht kann die Applikationsmaschi- 
ne gewahrieisten, daB ein Applet zu einer speziftzierten Domane gehdrt Applet-Date ien enthalten einen 
Vorsatz, welcher die Zugriffskontrolliste fur einen Satz von Domanen und die Allgemeinschiussel fur jede 
Domane enthalt 

Fig, 3 iDustriert ein Applet 22, welches eine Nutzlast 24 bestehend aus einem objektbasierendem Anwen- 
dungsprogramm einschiieBIich Daten, sowie einen Vorsatz 26 enthalt Der Vorsatz 26 enthalt einen Allgemein- 
schiussel oder mehrere Allgemeinschiussel 28 sowie eine Applikationskontroiliste 30. Er enthalt ebenfaUs eine 
Hentmziening des Applets (z.B. den URL, falls bei World Wide Web benutzt), welche am Server unter 
Benutzung eines Privatschlfissels verschlusselt werden kann, zur Entschlfisselung unter der Steuerung der 
Applikationsmaschine 16 unter Benutzung eines Afigemeinschlfissels 28. Der Vorsatz enthalt ebenfaUs einen 
verschiussehen Satz von Domanen, z. B. Domanennachrichten, welche unter Benutzung eines ADgemeinschlus- 
sels 28 entschlfisselt werden kdnnen. 

Ein Applet kann gleicbzeitig zu einer oder mehreren Domanen gehOren. Es ist die Verantwortlichkeit der 
Domaneninhaber, zu gewahrieisten, daB der Privatschlfissel, der zur Erzeugung der verschlfisselten Domane- 
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nauthentizrtatsnachrichten benutzt wird, geheimgehalten wird, 

Wie oben erwahnt, kann die verschlQsselte Nachricht die Applet-Identifizierung unter Benutzung des Privat- 
schlussels verschlusseln. Dies gewahrleistet, daB die verschlusselte Nachricht nicht von einem anderen Applet im 
Versuch, diese Applet-Domanenmdglichkeiten zu borgen, kopiert worden ist Jeglicher Versuch, das Server-Ap- 
plet auf eine andere Maschine zu Idonen und dann in der Lage zu sein, die domaneneigenen Dateien zu lesen, s 
wiirde dann bewirken, daB die verschlQsselte Nachricht nicht mit der Applet-Identifizierung fiber einstimmt, und 
wiirde die Apple t-Domane innerhalb der Applications maschine ungflltig machen. 

Eine Combination von Zugriffsverfahren wird vorzugsweise benutzt, urn fur Applets einen sicheren Zugriff 
auf dauerhafte Speicher vorzusehea Sowohl die Applet-Identifizierung als auch vorzugsweise die Domanen 
werden als Schlussel innerhalb der Zugriffskontrolliste fur eine Datei impleraentiert 10 

Die Sprachenklassen zum Dateizugriff in der AppKkauonsrnaschine 16 fur die bestimmte benutzte Sprache, 
z. R. Java, soflte verbessert werden, so daB sie einen Zugriff auf das Datexsystem basterend auf der Applet-Identi- 
fizierung und der Domane eriaubt Applets sollten, wie oben angedeutet bezuglich Fig. 3, modifiziert werden, um 
optioneU ihre Domane zu enthalten, sowie durch die Benutzung einer Aligemeinschlussel-Verschlusselung 
davon und/oder ihrer Identinzierung. Jede Datei mit Zugriff srechten, die ihr zugeordnet sind, ist in der Zugriffs- is 
kontrolliste 20 (Fig. 2) m einer im RAM 16 gespeicherten Datei, auf die durch die Applikationsmaschine 
zugegriffen werden kann, z. Bw ein Browser- Programm, enthalten. Die Applikationsmaschine, die im RAM 16 
enthalten ist, verhandelt Zugriffsrecnte fur jedes geladene Applet Zugriffsrechte kdnnen Servicequalitatsinfor- 
mationen enthalten, welche definiert, wie auf jede Ressource zugegriffen werden kann, einschlieBlich der 
Maximal gr68e von Anderungen. Jede Anderung am Dateisystem wird Qberpruft, um offenzulegen, ob sie 20 
Zugriff srechte verletzen wGrde. Dies beinhaltet das Recht auf Zugriff, Anderung oder Schaffung einer Datei und 
die Grenzen der GrdBe der Anderungen. 

Die Struktur der Zugriffskontrolliste ist vorzugsweise folgende: 

25 

<Filename: . . .> 

«AccessMode , . . • > :<IDorDomain, ...>;...> 

wobei: 30 
Filename enthalt einen oder mehrere Dateinamen, von den en jeder Wild-Cards enthalten kann 
Access Mode ist eines von Lesen, Schreiben, Anhangen, Ldschen, Neue Datei, Auflisten, Anfragen, (MMaxSize: 
x) 

IDorDomain ist entweder ein URL zum Spezifizieren eines Applet oder ein (DomainName: pub!icKey)-Paar 
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Beispielsweise kann ein Entrag, wo alle Dateien in Vpublicf-Verzeichnis lesbar sind, "/private" durch das 
Applet neue Dateien geschaffen bekommen kann, URL "http -J/ www.foo.bar/ap pletd ass* und Applets der 
Domane J, MyDomain" Schreibzugriff auf die Datei Vprivate/foo-bar* mit auf 5000 Byte eingestelhem rfinzufu- 
gungsmodus haben, vorliegen als: 

/public/* 

Read : * 
/private/* 

New File : * 
/private/ f 00 . bar 

Write, (MaxSize:5000) : 
h.ttp: //www. f 00. bar /applet. class; (MyDomain: 987654321) 

55 

Eine innerhalb der Applikationsmaschine gesendete Nachricht wiirde so, wie im FlieBdiagramm von Fig. 4 
gezeigt, in dem die Zeit von der Oberseit e zur Unterseite der Figur verlauf t, in Erscheinung treten. 

In diesem Beispiel fordert das Applet das Offnen der Datei zum Einschreiben von 4000 Byte an, Die Zugriffs* 
kontrolliste (ACL) wird durch die Applikationsmaschine befragt Die Anforderung wird gebiHigt, und die Datei 
wird geoffhet Wenn 3500 Byte hinzugefugt werden, hat das Schreiben in die Datei Erfolg. Ein Versuch, weitere 60 
1000 Byte zu schreiben, beschert einen MiBerfolg, und diese werden nicht geschrieben, da sie die gespeicherten 
Zugriff srechte (4000 Byte) der Applikationsmaschine fQr das Applet hinsichttich der Datei uberschreiten. 

Somit ist ersichtfich, daB die vorliegende Erfindung ein Verfahren schafft, durch das Applets Zugriff auf 
Dateien haben kdnnen, die auf dauerhaften Speichermedien gespeichert sind, oder Zugriff auf andere Computer- 
systemressourcen in einem offenen System haben kdnnen, die anderenfaHs geschfitzt waren, und zwar auf 65 
sichere Art und Weise, ohne Besorgnis, daB ein Gauner-Applet die Domane eines anderen Applet angenommen 
hat, oder die Besorgnis, daB eine Datei gestohlen oder beschadigt werden kann. Das Verfahren bietet ebenfalls 
Schutz gegen Oberlauf der Speichermedien aufgrund einer Erzeugung von Dateien mh QbermaBiger GrdBe. 
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Und zur gieichen Zeit criaubt cs eine sophistiziertere Funkuonsweise cincs Computers, der mit eiaem offenen 
System verbunden ist, daB Dateien und weitere Ressourcen, die durch einen lokalen Computer gesteuert werden 
oder damit verbunden stnd, bei der Verarbettung von Applets benutzt werden k&nnen. 

Eine Person, die die Erfindung versteht, kann jetzt alternative Strukturen und Ausfuhrungsformen oder 
5 Variationen der obigen ersinnea All diejenigen, wetche in den Schutzumfang der hieran angehangten Patentan- 
spriiche fallen, sollen Teil der vorliegenden Erfindung sein. 

PatentansprOche 

10 1. Verf ahren zum Verarbeiten eines Applet mrt den Schritten: 

(a) Speicfaern einer Datei in einem dauerhaften Speichennedium (PSM), wobei die Datei eine Zugriffs- 
kontrolliste enthalt, 

(b) Obertragen eines Applets von einem Server, wobei das Applet zumindest eines von Applet-Identifi- 
zierungsdaten und eines Paares von einem Prrvatschiussel -verschhlssehen Domanenidentifizierer und 

is einem AUgemeiiischlussef, einem DateimaximalgroBenindikator und einer Spezifizienmg erforderii- 

cher Operationen enthah, 

(c) Empfangen des Applets durch eine Applikationsmaschine, 

(d) im FalL daB der Domanenidentifizierer im Applet enthalten ist, EntschMsseln des Domanenidenufi- 
zierers unter Benutzung des Aflgemeinschlussels, 

20 (e) Prufen des zumindest einen von den Applet-Identifizierungsdaten und dem entschlttsselien Doma- 

nenidentifizterer gegenuber der Zugriffskontrolliste hinsichtlich einer Obereinstimmung; und 
(f) im Fall daB eine Obereinstimmung gefunden wird, ErmSglichen der in dem Applet spezifizierten 
Operationen an einer in einem dauerhaften Speichennedkun gespeicherten Datei, fur welche ein 
Zugriff f Or das Applet, wte in der Dateizugriffskontrolliste spezifiziert, mdguch ist 
25 2. Verf ahren nach Anspruch 1, gekennzeichnet durch den Schritt der Beendigung der Durchfuhrung der in 

dem Applet spezifizierten Operation in dem Fall, daB die Operation in einer Datei grdBe im dauerhaften 
Speichermedium resultieren wurde, welche die DateimaximalgroBe, die im Applet angezeigt ist, uberschrei- 
tet 

3l Verf ahren nach Anspruch 1, gekennzeichnet durch den Schritt der Nicht-Ehirchfuhrung der Operation im 
30 Fall, daB keine Obereinstiramung gefunden wird. 

4. Verf ahren zur Verarbettung von Applets mi t den Schritten: 

(a) Empfangen von Applets in einer Applikationsmaschine, wobei die Applets Spezifikationen von 
durchzufuhrenden Operationen aufweisen und einige der Applets zumindest eines von Applet-Identifi- 
zierungsdaten und Privatschlussel-verscUusselten Domanen aufweisen, 
35 (b) Verarbeiten der Applets in einem AusmaB, in dem Zugriff auf in einem dauerhaften Speichermedi- 

um enthaltene Dateien nicht erf orderlich ist, 

(c) im Fall, daB Applets Privatschlussel- verschlusselte Domanen aufweisen, Entschlusseln der Doma- 
nen, 

(d) Prufen des zumindest einen von den Applet-Identifizierungsdaten und den entschlusselten Doma- 
40 nen gegenuber einer Kontrolliste, und 

(e) Verarbeiten derjenigen Applets, von denen zumindest das eine von den Applet-Identifizierungsda- 
ten und den entschlusselten Domanen mit Eintragen in der Kontrolliste zum Zugriff auf die in dem 
dauerhaften Speichermedium enthaltenen Dateien ubereinstimmen, wte durch die Applets gefordert 
wird 

45 5. Verf ahren zum Verarbeiten eines Applet mit den Schritten Speicfaern einer Zugriffskontrolliste, welche 

eine Identitat von Applets oder Domanen enthalt, die einen Zugriff auf in einem dauerhaften Speichermedi- 
um gespeicherte Dateien haben konnen, und Ermoglichen eines Zugriffs auf das dauerhafte Medium durch 
Applets, welche eine Identitat oder eine Domane entsprechend einem Eintrag auf der Liste aufweisen. 

6. Verf ahren nach Anspruch 5, gekennzeichnet durch den Schritt der Benutzung einer in einem Computer 
50 gespeicherten Applikationssteuermaschine zur PrOfung der Applets, Pruning der Zugriffskontrolliste und 

Verarbeitung der Applets, die auf der Zugriffskontrolliste zur Bearbehung einer in dem Zugriff ssteuermedi- 
um gespeicherten Datei identifiziert werden. 

7. Verfahren nach Anspruch 6, gekennzeichnet durch den Schritt des Prufens eines Applet hinsichtlich einer 
D ateigi^Ben-Beschrankungsspezh^erung, die von dem Applet getragen wird, und Ablehnen, die Datei zu 

55 bearbeiten, wenn die durch das Applet spezinzterte Operation in einer DateigrdBe oberhalb der spezifizier- 

ten DateigroBe resultieren wurde. 

8. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daB zumindest eines von der Identifizierung und 
der Domane, die von dem Applet getragen werden, Privatschlussdverschlusselt ist und einen entsprechen- 
den AJQgemeinschlussel aufweist, und rait den Schritten des Entschhlsselns zur FeststeQung der Authennzi- 

60 tat des zumindest einen von der Identifizierung und der Domane unter Benutzung des Allgemeinsduussels, 
wobei der Schritt der Vergabe eines Zugriffs nur in dem Fall ausgefuhrt wird, daB das entscfalflsseite 
zumindest eine von der Identifizierung und der Domane Authentizkat aufweist 

9. Applet-Applikatioasmas chine mit einer Zugriffs steuerliste, wobei die Maschine und die Liste in einem 
Speicher eines Computers gespeichert sind, sowie einer Einrichtung zum Bereitstellen eines Applet mit 

$5 einer Identifizierung und zumindest einem von einem Applet-Id enttfizierer und einer Domane zum Ver- 

gleich mit der Liste und zur Bestimmung einer Obereinstimmung, sowie einer Einrichtung zur ErmdgK- 
chung eines Zugriffs auf eine anderenf alls geschntzte Computerressource im Fall der Obereinstimmung. 

10. Maschine nach Anspruch 9, dadurch gekennzeichnet daB die Computerressource ein dauerhaftes 
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1 1. Maschine nach Anspruch 9, gekennzeichnet durch eine AUgemeinschlOssel-Entsc^ililsselungseinrichtung, 
wobei das Applet einen Privatschlflssel-verschlOsselten Identifizierer oder eine Dom&ne und einen Allge- 
meinschlQssel aufweist, zur Entschlusselung durch die Ents^usselungseinrichtung. 

IZ Computersoftware-Applet mit einem PrivatschlQsseiverschlusselten Authentizitatscode zum Definieren 
einer Domane des Applets. 
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